v
شکستن کلیدهای رمزنگاری
چه طول کلیدی در رمزنگاری مناسب است؟
امنیت هر الگوریتم مستقیماً به پیچیده بودن اصولی مربوط است که
الگوریتم بر اساس آن بنا شده است.
امنیت رمزنگاری بر اساس پنهان ماندن کلید است نه الگوریتم مورد
استفاده. در حقیقت، با فرض اینکه که الگوریتم از قدرت کافی برخوردار است (یعنی که
ضعف شناختهشدهای که بتوان برای نفوذ به الگوریتم استفاده کرد، وجود نداشته باشد)
تنها روش درک متن اصلی برای یک استراق سمع کننده، کشف کلید است.
در بیشتر انواع حمله، حملهکننده تمام کلیدهای ممکن را تولید و
روی متن رمزشده اعمال میکند تا در نهایت یکی از آنها نتیجه درستی دهد. تمام
الگوریتمهای رمزنگاری در برابر این نوع حمله آسیبپذیر هستند، اما با استفاده از
کلیدهای طولانیتر، میتوان کار را برای حملهکننده مشکلتر کرد. هزینه امتحان
کردن تمام کلیدهای ممکن با تعداد بیتهای استفاده شده در کلید بصورت نمایی اضافه میشود،
و این در حالیست که انجام عملیات رمزنگاری و رمزگشایی بسیار کمتر افزایش مییابد.
الگوریتمهای متقارن
DES که یک الگوریتم کلید متقارن است معمولا
از کلیدهای ۶۴ بیتی برای رمزنگاری و رمزگشایی استفاده میکند. الگوریتم متن اولیه را
به بلوکهای ۶۴ بیتی میشکند و آنها را یکییکی رمز میکند.
۳DES الگوریتم
پیشرفتهتر است و در آن الگوریتم DES سه
بار اعمال میشود (در
مقاله رمزنگاری به آن اشاره شده است). نسخه دیگری از این الگوریتم (پایدارتر از قبلیها)
از کلیدهای ۵۶بیتی و با فضای کلید موثر ۱۶۸بیت استفاده میکند و سه بار عملیات
رمزنگاری را انجام میدهد
.
الگوریتمهای نامتقارن
عموماً سیستمی امن محسوب میشود که هزینه شکستن آن بیشتر از
ارزش دیتایی باشد که نگهداری میکند. اما در ذهن داشته باشید که با افزایش قدرت
محاسباتی، سیستمهای رمزنگاری، آسانتر توسط روشهای سعی و خطا مورد حمله قرار خواهند
گرفت.
برای مثال، طبق گزارشی از سایت RSA، تخمین زده می شود که یک کلید ۲۱۵ بیتی می
تواند با هزینه ای کمتر از ۱ میلیون دلار و یک تلاش ۸ ماهه شکسته شود. RSA توصیه میکند که
کلیدهای ۲۱۵ بیتی در حال حاضر امنیت کافی ایجاد نمی کنند و باید بنفع کلیدهای ۸۶۷
بیتی برای استفاده های شخصی کنار بروند! به همین ترتیب برای استفاده شرکتها
کلیدهای ۱۰۲۴ بیتی و از ۲۰۴۸ بیت برای کلیدهای فوق العاده ارزشمند استفاده شود.
البته پیش بینی شده است که با پیشرفتهای موجود احتمالا نیاز به افزودن بر طول
کلیدها وجود خواهد داشت.
استاندارد ISF، تجربه ی برتر امنیت اطلاعات
امروزه استاندارد Information Security Forum ISF به عنوان تجربه ای معتبر برای امنیت
اطلاعات شناخته شده است. این استاندارد مجموعه ی تجربیات بیش از ۲۶۰ شرکت و سازمان
بین المللی معتبر در زمینه ی اطلاعات و بهسازی امنیت اطلاعات آن هاست.
در طول ۱۶ سال ، ISF بیش از هفتاد و پنج میلیون دلار برای
گردآوری اطلاعات موثق و درست برای اعضای خود هزینه کرده است. شاید کار این
استاندارد ، نشان دادن مجموعه ی بسیار گسترده و جامع از تمامی عناوین مربوط به
مدیریت ریسکهای اطلاعات در دنیاست.
استاندارد ISF فشرده
و کلیدی برای برنامه های گسترده ی گروه ISF است.
نتایج این استاندارد که در طی سال ها گسترش یافته و هر سال نسبت به سال پیش بهبود
پیدا کرده است ، اجرای پروژه هایی زیادی است که توسط ISF تعریف و انجام شده است.
هر چند ISF و
نتایج آن متعلق به اعضای انحصاری آن است ، اما این گروه تصمیم گرفت برخی از نکات
کلیدی را در قالب مجموعه ای کامل به نام The
Standard of Good Practice (استاندارد
تجربه برتر ) ، در جهت رسیدن به اهداف زیر به اشخاص غیر عضو ارائه دهد:
ایجاد زمینه ای برای
بالا بردن سطح امنیت اطلاعات سازمان ها در سرتاسر جهان از طریق تجربه ای برتر
کمک به سازمان ها و
شرکت هایی که عضو ISF نیستند
، برای بهبود وضعیت امنیتی خود و کاهش خطرات امنیتی در سطح قابل قبول
کمک عملی به تولید
کنندگان استاندارد ها برای مشخص کردن نواحی و کاهش ریسک های اطلاعاتی در یک مجموعه
ISF با اجرای ممیزی وضعیت امنیت اطلاعات
اعضای خود، آنها را قادر می سازد تا ارزیابی کلی از وضعیت امنیت اطلاعات سازمان
خود داشته باشند. این ممیزی به صورت عملی و با استفاده از ابزارهای خودکار انجام
می شود تا بتوانند میزان اجرای توافق های امنیتی خود را در سازمان اندازه گیری و
با سازمان های سردمدار گروه مقایسه کنند.
v معرفی استاندارد ISF
این استاندارد، امنیت اطلاعات را از دید
کسب و کارها بررسی می کند و ارزیابی ابتدایی از توافق ها و سیاست های امنیتی
سازمان ها ارائه می دهد. استاندارد ISF روی توافق هایی تمرکز
دارد که باید در سازمان های سردمدار IT ایجاد
شود تا از این طریق به آنها برای کنترل ریسک های امنیتی کمک کند.
استاندارد بر اساس اصول غنی شده ی حاصل
از تحقیقات عمیق و تمرینات عملی اعضای گروه ISF تنظیم شده است و هر دو سال یک بار روز
آمد می شود.
تمرینات موجود در استاندارد می تواند به
صورت جزیی یا کلی در توافق های امنیتی سازمان ها توسط افراد کلیدی زیر گنجانده شود:
مدیر امنیت اطلاعات :مقامی مشابه که مسئول
و پاسخگوی مسایل امنیت اطلاعات و پیاده سازی آنها در سازمان است.
مدیر سازمان: که مجری برنامه های کاربردی و
بحرانی سازمان است.
مدیرIT: که پاسخگو و مسئول طراحی، تولید ، نصب و
اجرا و نگهداری تجهیزات یا سیستم های اطلاعاتی است.
استاندارد ISF برای اولین بار در سال ۱۹۹۶ منتشر شد.
نسخه ی جدید این استاندارد هر دو سال یک بار منتشر و کلید ها و موارد دیگر به آن
افزوده می شود و در راستای استاندارد بین المللی توسعه پیدا می کند. این استاندارد
بر پایه ی دانش اعضای گروه ISF و
نیز مهارت های تیم مدیریت آن بنا نهاده شده است ، که به صورت تمام وقت روی این
استاندارد فعالیت می کند. از استاندارد های بین المللی دیگر (همچون ISO ۱۷۷۹۹) و نتایج تجزیه و
تحلیل های ممیزی های ISF نیز
به عنوان یک منبع در آن استفاده می شود.
خلاصه آنکه، این استاندارد بر پایه ی ۱۶
سال برنامه های کاری ISF، ۱۲۵ پروژه
ی تحقیقاتی و ۲۰۰ گزارش بنا نهاده شده است.
این استاندارد در بیش از ۱۰ شرکت و
سازمان تولیدی و طراحی به طور آزمایشی پیاده سازی شده است تا از درستی کلید های آن
در بخش امنیت اطلاعات، اطمینان حاصل شود.
استاندارد تجربه ی برتر امنیت اطلاعات،
در اصل مجموعه ای است از اصول واقعی و درستی که از طریق بهترین تجربیات سازمان های
عضو به دست آمده و بر اساس نیازهای سازمان های مختلف ایجاد شده است.
بسیاری از حرفه ای های امنیت اطلاعات ، از این
استاندارد به عنوان استانداردی ارزشمند یاد می کنند که می توان آن را در تمام سطوح
امنیتی سازمان ها در سرتاسر جهان به کار برد
